|
|
(7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| '''topic''' - Kurzbeschreibung
| | #WEITERLEITUNG [[Information Security Management System]] |
| == Beschreibung ==
| |
| Jede Institution benutzt heute Sicherheitstechnik, um sich vor Gefahren aus dem Internet abzusichern.
| |
| * Dazu gehören fast immer Virenschutzprogramme und Spamfilter, oft aber auch komplexere Lösungen wie gestaffelte Firewalls und Software zur Angriffserkennung.
| |
| * Darüber hinaus ergreifen Behörden und Unternehmen organisatorische Maßnahmen, etwa indem sie Richtlinien für die Benutzung mobiler Systeme erlassen oder die ihre Mitarbeiter über Gefahren im Internet informieren.
| |
| * Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle.
| |
| | |
| Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß allerdings weder effektiv noch effizient.
| |
| * Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden.
| |
| * Ein solches '''Managementsystem für Informationssicherheit (ISMS) '''besteht aus folgenden Komponenten:
| |
| * '''Managementprinzipien''',etwa der Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen,
| |
| * '''Ressourcen und Mitarbeitern''',dies umfasst die Steuerung des Einsatzes von Technik und Personal sowie
| |
| * der Beschreibung eines '''Sicherheitsprozesses'''.
| |
| | |
| ; Worauf sollten Sie beim Aufbau und Betrieb eines ISMS achten?
| |
| Antworten hierzu finden Sie im [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_1.html -Standard 200-1: Managementsysteme für Informationssicherheit ()].
| |
| * Die dort genannten Empfehlungen werden im [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html -Standard 200-2: -Grundschutz-Methodik] konkretisiert.
| |
| * In den Kapiteln 3 und 4 erfahren Sie dort beispielsweise, worauf bei der Initiierung und Organisation des Sicherheitsprozesses zu achten ist.
| |
| | |
| ; Aspekte des Managements von Informationssicherheit gemäß -Grundschutz
| |
| {| class="wikitable options"
| |
| |-
| |
| ! Aspekt !! Beschreibung
| |
| |-
| |
| | [[IT-Grundschutz/Sicherheitsprozess|Sicherheitsprozess]] ||
| |
| |-
| |
| | [[IT-Grundschutz/Managementprinzipien|Managementprinzipien]] ||
| |
| |-
| |
| | [[IT-Grundschutz/Sicherheitsorganisation|Sicherheitsorganisation]] ||
| |
| |-
| |
| | [[IT-Grundschutz/Sicherheitsleitlinie|Sicherheitsleitlinie]] ||
| |
| |-
| |
| | [[IT-Grundschutz/Sicherheitskonzept|Sicherheitskonzept]] ||
| |
| |-
| |
| | [[IT-Grundschutz/Dokumentation|Dokumentation]] ||
| |
| |}
| |
| | |
| == Anhang ==
| |
| === Siehe auch ===
| |
| {{Special:PrefixIndex/Sicherheitsmanagement}}
| |
| | |
| ==== Dokumentation ====
| |
| ==== Links ====
| |
| ===== Einzelnachweise =====
| |
| <references />
| |
| ===== Projekt =====
| |
| ===== Weblinks =====
| |
| <noinclude>
| |
| === Testfragen ===
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| Welches Modell liegt dem in -Standard 200-1 beschriebenen Sicherheitsprozess zugrunde?
| |
| A ein Zyklus aus den Schritten Plan, Do, Check und Act
| |
| B ein Verfahren zur Definition eines State-of-the-Art-Informationssicherheitsniveaus
| |
| C ein auf stetige Verbesserung angelegtes Modell
| |
| D ein Modell aus technischen Sicherheitsmaßnahmen
| |
| <div class="mw-collapsible-content"> '''Die Antworten A und C sind richtig.'''</div>
| |
| </div>
| |
| | |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| Was sollte eine Leitlinie zur Informationssicherheit enthalten?
| |
| A detaillierte technische Vorgaben für die Konfiguration wichtiger -Systeme
| |
| B Aussagen zur Bedeutung der Informationssicherheit für die betroffene Institution
| |
| C grundlegende Regelungen zur Organisation der Informationssicherheit
| |
| D konkrete Verhaltensregelungen für den Umgang mit vertraulichen Informationen
| |
| <div class="mw-collapsible-content">'''Die Antworten B und C sind richtig.'''</div>
| |
| </div>
| |
| | |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| Welche Aufgaben haben üblicherweise Informationssicherheitsbeauftragte?
| |
| A die Entwicklung von Sicherheitskonzepten zu koordinieren
| |
| B die eingesetzte Sicherheitstechnik zu konfigurieren
| |
| C der Leitungsebene über den Stand der Informationssicherheit zu berichten
| |
| D Presseanfragen zum Stand der Informationssicherheit im Unternehmen zu beantworten
| |
| <div class="mw-collapsible-content">'''Die Antworten A und C sind richtig.'''</div>
| |
| </div>
| |
| | |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| Wie setzt sich ein -Management-Team geeignet zusammen?
| |
| A Aus jeder Abteilung des Unternehmens oder der Behörde werden Mitarbeiter entsandt, damit alle Bereiche gut vertreten sind.
| |
| B Nur der -Leiter ordnet einige Mitarbeiter in das Team ab.
| |
| C Die Zusammensetzung sollte auf Freiwilligkeit beruhen. Jeder der Interesse hat, wird aufgenommen.
| |
| D Die Geschäftsleitung setzt das Team aus Verantwortlichen für bestimmte -Systeme, Anwendungen, Datenschutz und -Service und (sofern vorhanden) dem - zusammen.
| |
| <div class="mw-collapsible-content">'''Die Antwort D ist richtig.'''</div>
| |
| </div>
| |
| | |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| Wer ist für die Freigabe der Leitlinie zur Informationssicherheit verantwortlich?
| |
| A das -Management-Team
| |
| B der
| |
| C die Unternehmens- oder Behördenleitung
| |
| D die Öffentlichkeitsabteilung eines Unternehmens oder einer Behörde
| |
| <div class="mw-collapsible-content">'''Die Antwort C ist richtig.'''</div>
| |
| </div>
| |
| | |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| Warum kann es sinnvoll sein, sich für eine Sicherheitskonzeption gemäß der Basis-Absicherung zu entscheiden?
| |
| A Die Erfüllung der zugehörigen Anforderungen reicht in der Regel für ein normales Unternehmen völlig aus.
| |
| B Weil schnell Informationssicherheit umgesetzt werden muss und die Basis-Absicherung hierfür einen geeigneten Einstieg bietet.
| |
| C Weil Informationssicherheit Schritt für Schritt umgesetzt werden soll. Mittelfristig kann das Sicherheitskonzept nach Standard-Absicherung ausgebaut werden.
| |
| D Weil die hochwertigen Informationen dringend geschützt werden müssen. Die Basis-Absicherung sorgt für den angemessenen Schutz der „Kronjuwelen“ einer Institution.
| |
| <div class="mw-collapsible-content">'''Die Antworten B und C sind richtig.'''</div>
| |
| </div>
| |
| | |
| [[Kategorie:IT-Grundschutz/Management]] | |
| </noinclude>
| |